На українські підприємства здійснюється атака з використанням програми-деструктора DoubleZero

Як повідомляє урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, виявлено декілька небезпечних ZIP-архівів, один з яких мав назву "Вирус... крайне опасно!!!.zip".

Кожен з архівів містить обфусковану .NET-програму. В результаті проведеного аналізу виявлені програми класифіковано як DoubleZero - шкідлива програма-деструктор, розроблена з використанням мови програмування C#.

Для знищення файлів використовує два способи: перезапис файлів нульовими блоками по 4096 байт (метод FileStream.Write) або ж за допомогою API-викликів NtFileOpen, NtFsControlFile (код: FSCTL_SET_ZERO_DATA). Спочатку здійснюється перезапис всіх несистемних файлів на всіх дисках. Після цього складається перелік системних файлів за маскою, здійснюється їхнє сортування та подальший перезапис у відповідній послідовності. Надалі знищуються гілки реєстру Windows: HKCU, HKU, HKLM, HKLM\BCD. Насамкінець комп'ютер вимикається.

Активність відстежується за ідентифікатором UAC-0088 та має безпосереднє відношення до спроб порушення штатного режиму фунціонування інформаційних систем українських підприємств.